مبانی اترنت ( بخش اول )

مبانی اترنت ( بخش اول )

اترنت ،‌ متداولترين فنآوری استفاده شده در دنيای شبكه های محلی  است كه خود از مجموعه ای‌ تكنولوژی ديگر تشكيل شده است . يكی از بهترين روش های آشنائی اصولی با اترنت ،‌ مطالعه آن با توجه به مدل مرجع OSI است . اترنت از رسانه های انتقال داده و پهنای باند متفاوتی حمايت می نمايد ولی در تمامی نمونه های موجود  از يك قالب فريم و مدل آدرس دهی مشابه استفاده می گردد .
به منظور دستيابی هر يك از ايستگاه ها و يا گره های موجود در شبكه به محيط انتقال ،  استراتژی های كنترل دستيابی مختلفی تاكنون ابداع شده است .  آگاهی از نحوه دستيابی دستگاه های شبكه ای به محيط انتقال امری لازم و ضروری به منظور شناخت عملكرد شبكه و اشكال زدائی منطقی و اصولی آن می باشد .

 اترنت چيست ؟

• اكثر ترافيك موجود در اينترنت از اترنت شروع و به آن نيز خاتمه می يابد . اترنت در سال 1970 ايجاد و از آن زمان تاكنون به منظور تامين خواسته های موجود برای شبكه های محلی با سرعت بالا رشد و ارتقاء يافته است .  زمانی كه يك رسانه انتقال داده جديد نظير فيبر نوری توليد می گرديد ، اترنت نيز متاثر از اين تحول می شد تا بتواند از مزايای برجسته پهنای باند بالا و نرخ پائين خطاء در فيبر نوری استفاده نمايد . هم اينك پروتكل هائی كه در سال 1972 صرفا" قادر به حمل داده با نرخ سه مگابيت در ثانيه بودند ،‌می توانند داده را با سرعت ده گيگابيت در ثانيه حمل نمايند .

• سادگی و نگهداری‌ آسان ، قابليت تركيب و تعامل با تكنولوژی های جديد ، معتبر بودن و قيمت پائين نصب و ارتقاء از مهمترين دلايل موفقيت اترنت محسوب می گردد .

• امكان استفاده دو و يا بيش از دو ايستگاه از  يك محيط انتقال بدون تداخل سيگنال ها  با يكديگر ،‌ از مهمترين دلايل ايجاد اترنت می باشد . استفاده چندين كاربر از يك محيط انتقال مشترك در ابتدا و در سال 1970 در دانشگاه هاوائی مورد توجه قرار گرفت . ماحصل مطالعه فوق ،‌ ابداع روش دستيابی اترنت بود كه بعدا" CSMA/CD ناميده شد .

• اولين شبكه محلی در جهان ،‌ نسخه ای اوليه از اترنت بود  كه Robert Metcalfe ‌و همكاران وی در زيراكس آن را در بيش از سی و چهار سال قبل طراحی نمودند.   اولين استاندارد اترنت در سال 1980 توسط كنسرسيومی متشكل از اينتل ، Digital Equipment و زيراكس و با نام اختصاری DIX ايجاد گرديد . مهمترين هدف كنسرسيوم فوق ، ارائه يك استاندارد مشترك بود تا تمامی علاقه مندان بتوانند از مزايای آن بدون محدوديت های مرسوم استفاده نمايند و به همين دليل بود كه آنان بر روی يك استاندارد باز متمركز شدند .  اولين محصول پياده سازی شده با استفاده از استاندارد اترنت در اوائل سال 1980 به فروش رفت . اترنت اطلاعات را با سرعت ده مگابيت درثانيه  بر روی كابل كواكسيال و حداكثر تا مسافت دو كيلومتر ارسال می نمود . به اين نوع كابل كواكسيال ، thicknet نيز گفته می شود .

• در سال 1995 ،  موسسه IEEE  كميته هائی‌ را به منظور استاندارد سازی اترنت ايجاد نمود . استاندارد های فوق با 802 شروع می شود و اين استاندارد برای اترنت 3 . 802 می باشد . موسسه IEEE درصدد بود كه استانداردهای ارائه شده با مدل مرجع OSI  سازگار باشند . به همين دليل لازم بود به منظور تامين خواسته های لايه يك و بخش پائينی لايه دوم مدل مرجع OSI ، تغييراتی در استاندارد 3 . 802 داده شود . تغييرات اعمال شده در نسخه اوليه اترنت بسيار اندك بود بگونه ای كه هر كارت شبكه اترنت قادر به ارسال و يا دريافت فريم های اترنت و  استاندارد       3 . 802 بود . در واقع ، اترنت و  IEEE 802.3   ، استانداردهای  مشابه و يكسانی می باشند .

• پهنای باند ارائه شده توسط اترنت در ابتدا ده مگابيت در ثانيه بود و برای كامپيوترهای شخصی دهه هشتاد كه دارای سرعت پائين بودند ،‌ كافی بنظر می آمد ولی در اوايل سال 1990 كه سرعت كامپيوترهای شخصی  و اندازه فايل ها افزايش يافت ،‌ مشكل پائين بودن سرعت انتقال داده بهتر نمايان شد . اكثر مشكلات فوق به كم بودن پهنای باند موجود مربوط می‌ گرديد  . در سال 1995 ، موسسه IEEE ،‌استانداردی را برای اترنت با سرعت يكصد مگابيت در ثانيه معرفی نمود . اين روال ادامه يافت و در سال های  1998 و 1999 استانداردهائی  برای گيگابيت نيز  ارائه  گرديد .

• تمامی استاداردهای ارائه شده با استاندارد اوليه اترنت سازگار می باشند . يك فريم اترنت می تواند از طريق يك كارت شبكه با كابل كواكسيال 10 مگابيت در ثانيه از يك كامپيوتر شخصی خارج و  بر روی يك لينك فيبر نوری اترنت ده گيگابيت در ثانيه ارسال  و در انتها به يك كارت شبكه با سرعت يكصد مگابيت در ثانيه برسد . تا زمانی كه بسته اطلاعاتی بر روی شبكه های اترنت باقی است  در آن تغييری داده نخواهد شد . موضوع فوق وجود استعداد لازم برای رشد و گسترش اترنت را به خوبی نشان می دهد . بدين ترتيب امكان تغيير پهنای باند بدون ضرورت تغيير در تكنولوژی های اساسی اترنت همواره وجود خواهد داشت .

قوانين نامگذاری اترنت  توسط موسسه IEEE

• اترنت صرفا" يك تكنولوژی نمی باشد و خانواده ای مشتمل بر مجموعه ای از تكنولوژی های ديگر نظير
   Legacy, Fast Ethernet و Gigabit Ethernet را شامل می شود . سرعت اترنت می تواند ده ، يكصد ،‌ يكهزار و يا ده هزار مگابيت در ثانيه باشد . قالب اساسی فريم و زير لايه های IEEE لايه های اول و دوم مدل مرجع OSI در تمامی نمونه های اترنت ثابت و يكسان می باشد .

• زمانی كه لازم است اترنت به منظور اضافه كردن يك رسانه انتقال داده جديد و يا قابليتی خاص توسعه يابد ،‌ موسسه IEEE يك ضميمه جديد را برای‌ استاندارد 3 . 802 ارائه می نمايد . ضميمه فوق دارای يك و يا دو حرف تكميلی است . در چنين مواردی يك نام كوته شده نيز بر اساس مجموعه قوانين زير به ضميمه نسبت داده می شود :  
  -  عددی كه نشاندهنده تعداد مگابيت در ثانيه داده انتقالی است .
  - حرفی كه نشاندهنده استفاده از سيگنالينگ Baseband می باشد .
  - يك و يا چندين حرف الفبائی كه نوع رسانه انتقال داده را مشخص می نمايد ( مثلا" از حرف F برای فيبر نوری و يا T برای كابل های مسی بهم تابيده )

• اترتت در ارتباط با سيگنالينگ Baseband می‌باشد كه از تمامی پهنای باند رسانه انتقال داده استفاده نموده و سيگنال داده مستقيما" بر روی رسانه انتقال داده ارسال می گردد . در سيگنالينگ Broadband كه توسط اترنت استفاده نمی گردد ، سيگنال داده هرگز مستقيما" بر روی محيط انتقال داده قرار نمی گيرد . يك سيگنال آنالوگ ( Carrier Signal ) ، با سيگنال داده ‌مدوله شده  و سيگنال فوق  ارسال می گردد . شبكه های راديوئی و شبكه های كابلی تلويزيون از سيگنالينگ broadband استفاده می نمايند .

• موسسه IEEE نمی تواند توليد كنندگان تجهيزات شبكه ای را مجبور نمايد كه بطور كامل هر نوع استاندارد ارائه شده را رعايت نمايند ولی اميدوار است به اهداف زير نائل گردد :
  - ارائه اطلاعات منهدسی مورد نياز برای ايجاد دستگاه هائی كه متناسب با استانداردهای اترنت باشند .
  -  ترويج ابداعات جديد و استفاده از آنان توسط توليد كنندگان

اترنت و مدل مرجع OSI

اترنت در دو ناحيه از مدل مرجع OSI كار می كند : لايه فيزيكی و  بخش پائينی لايه Data Link ( زير لايه MAC ناميده می شود ) .

برای انتقال داده بين يك ايستگاه اترنت و ايستگاه ديگر ، عموما" داده از طريق يك Repeater ارسال می گردد . در چنين مواردی سایر ايستگاه های موجود در يك Collistion domain مشابه ، ترافيك عيوری از طريق Repeater را مشاهده خواهند كرد .Collision domain يك منبع مشترك است كه  مسائل ايجاد شده در بخشی از آن ساير عناصر موجود در  collision domain را تحت تاثير قرار خواهد داد .

Repeater ، مسئوليت فورواردينگ تمامی ترافيك بر روی ساير پورت ها را برعهده دارد . ترافيك دريافتی توسط يك Repeater  بر روی پورت اوليه ارسال نخواهد شد . هر سيگنال تشخيص داده شده توسط يك Repeater فوروارد خواهد شد . در صورت افت سيگنال ( نويز و يا ميرائی ) ،‌ Repeater مجددا" آن را احياء و توليد می نمايد .

با استفاده از استانداردهای موجود حداكثر تعداد ايستگاه در هر سگمنت ،‌ حداكثر طول هر سگمنت و حداكثر تعداد Repeater بين ايستگاه ها مشخص می گردد . ايستگاه هائی كه توسط Repeater از يكديگر جدا می شوند ، جملگی در يك Collision Domain مشابه قرار می گيرند ( توجه داشته باشيد كه ايستگاه هائی كه توسط Bridge و روتر از يكديگر جدا می گردند در Collision Domain  متفاوتی قرار می گيرند ) .

در لايه اول ( فيزيكی ) و بخش پائينی لايه دوم ( Data link ) مدل مرجع OSI  از تكنولوژی های متفاوت اترنت استفاده می گردد . اترنت در لايه اول شامل ارتباط با رسانه انتقال داده ، سيگنال ها ، جريان پيوسته انتقال داده ، عناصری كه سيگنال ها را بر روی رسانه انتقال داده قرار می دهند و تكنولوژی های متعدد ديگری است . اترنت لايه اول دارای يك نقش اساسی در مبادله اطلاعات بين دستگاه ها می باشد. در اين رابطه محدوديت های خاصی نيز وجود دارد كه لايه دوم با هدف غلبه بر محدوديت های فوق ،‌ امكانات خاصی را ارائه می نمايد :

• زير لايه های Data Link به منظور سازگاری بين تكنولوژی ها و مبادله اطلاعات بين كامپيوترها  مطرح می گردند :
  زير لايه MAC ،‌ در ارتباط با عناصر فيزيكی است كه از آنان به منظور مبادله اطلاعات استفاده می گردد .
  زير لايه LLC ، مستقل از تجهيزات فيزيكی است و از آن به منظور فرآيند مبادله اطلاعات استفاده می گردد .

نامگذاری 

• برای عرضه محلی فريم ها در اترنت ،‌ می بايست از يك مدل آدرس دهی به منظور شناسائی كامپيوترها و اينترفيس ها استفاده گردد . اترنت از آدرس های MAC كه طول آنان چهل و هشت بيتی است و به صورت دوازده رقم مبنای شانزده نمايش داده می شوند ،‌استفاده می نمايد . اولين شش رقم مبنای شانزده كه توسط موسسه IEEE مديريت می گردد ، مسئوليت شناسائی توليد كننده را برعهده دارد . اين بخش از  آدرس MAC را OUI ( برگرفته از Organizational Unique Identifier ) می گويند . شش رقم باقيمانده مبنای شانزده ، شماره سريال اينترفيس را مشخص می نمايد . 

• آدرس های MAC ، درون حافظه ROM نوشته شده و در زمان مقداردهی اوليه كارت شبكه در حافظه RAM مستقر می گردند . به آدرس های فوق BIA  ( برگرفته از  burned-in addresses ) نيز گفته می شود.

• در لايه Data Link ،‌ اطلاعات موردنياز MAC ( هدر و دنباله )  به داده دريافتی از لايه بالاتر اضافه خواهد شد . اطلاعات فوق شامل اطلاعات كنترلی برای لايه Data در سيستم مقصد می باشد .

• كارت شبكه از آدرس MAC به منظور  تشخيص محل ارسال پيام در لايه های بالاتر مدل مرجع OSI استفاده می نمايد . كارت شبكه برای تشخيص فوق از  پردازنده كامپيوتر استفاده نخواهد كرد . بدين ترتيب زمان مبادله اطلاعات در شبكه های اترنت بهبود پيدا خواهد كرد .

• در يك شبكه اترنت ،‌ زمانی كه يك دستگاه اقدام به ارسال داده می نمايد ، می تواند يك مسير ارتباطی را با ساير دستگاه ها با استفاده از آدرس MAC مقصد فعال نمايد . دستگاه مبداء يك هدر را به آدرس MAC مقصد مورد نظر اضافه می نمايد و داده را بر روی شبكه ارسال می نمايد . به موازات انتشار داده بر روی محيط انتقال شبكه ، كارت شبكه هر يك از دستگاه های موجود در شبكه ، آدرس MAC اطلاعات ارسالی را بررسی تا تشخيص دهد كه آيا اين بسته اطلاعاتی برای وی ارسال شده است و يا خير . در صورتی كه آدرس MAC موجود در فريم با آدرس MAC كامپيوتر دريافت كننده مطابقت ننمايد ، كامپيوتر و يا دستگاه مقصد آن را دور خواهد انداخت . زمانی كه داده به مقصد مورد نظر خود می رسد ، كارت شبكه يك نسخه از فريم را  تكثير و آن را در اختيار لايه های OSI قرار می دهد . در يك شبكه اترنت ، تمامی گره ها  می بايست هدر MAC را بررسی نمايند ( حتی‌ در مواردی كه گره های درگير در مبادله اطلاعات در مجاورت فيزيكی يكديگر باشند ) .

• تمامی دستگاه های متصل شده به يك شبكه محلی اترنت دارای آدرس MAC می باشند ( ايستگاه ها ، چاپگرها ، روترها و سوئيچ ها ) .
   

 فريم در لايه دوم

• برای رمز كردن و ارسال جريان مستمر بيت ها ( داده ) بر روی رسانه انتقال داده فيزيكی ، عمليات گسترده ای می بايست انجام شود ولی برای مبادله اطلاعات عمليات فوق به تنهائی كافی نمی باشد . با تعريف يك ساختمان داده خاص،‌ امكان دريافت و ذخيره اطلاعات ضروری كه امكان بدست آوردن  آنان توسط بيت های رمز شده  وجود ندارد ، فراهم می گردد . اطلاعات زير نمونه هائی در اين زمينه می باشد :
  - كدام كامپيوتر در حال مبادله اطلاعات با كامپيوتر ديگری است .
  - چه زمانی مبادله اطلاعات بين كامپيوترها شروع و چه زمانی خاتمه می يابد .
  - ارائه روشی برای تشخيص خطاء كه در زمان مبادله اطلاعات ممكن است اتفاق بيافتد .
  - كدام كامپيوتر امكان استفاده از محيط انتقال را برای برقراری يك مبادله اطلاعات بدست گرفته است .

• زمانی  كه كامپيوترها به يك رسانه انتقال داده متصل می گردند ، می بايست آنان از روشی به منظور  استفاده از محيط انتقال برای ارسال پيام و آگاهی به ساير كامپيوترها استفاده نمايند . در اين رابطه از تكنولوژی های متعددی استفاده می گردد كه هر يك دارای روش مختص به  خود برای انجام اين فرآيند می باشند . تمامی فريم ها ، صرفنظر از نوع تكنولوژی ،  دارای يك سيگنال آغازين مشتمل بر دنباله ای از بايت ها می باشند .

• تمامی فريم ها شامل اطلاعات نامگذاری نظير نام گره مبداء ( آدرس MAC ) و نام گره مقصد ( آدرس MAC ) می باشند .

• اكثر فريم ها دارای تعدادی فيلد خاص نيز می باشند . در برخی تكنولوژی ها ، يك فيلد طول مسئوليت مشخص نمودن طول واقعی يك فريم بر حسب بايت را برعهده دارد . برخی فريم ها دارای يك فيلد "نوع " می باشند كه پروتكل لايه سوم كه درخواست را ارسال نموده است ، مشخص می نمايد . 

• علت ارسال فريم ها ،‌ دريافت داده لايه های بالاتر از مبداء به مقصد مورد نظر است . بسته داده دارای دو بخش مجزاء می باشد : داده User Application و بايت های كپسوله شده برای ارسال به كامپيوتر مقصد . در اين رابطه ممكن است  بايت های ديگری نيز اضافه گردد . فريم ها دارای‌ يك حداقل طول برای فرآيند  تنظيم زمان می باشند . در فريم های استاندارد IEEE ، بايت های LLC نيز در فيلد داده قرار می گيرند . زير لايه LLC ، داده پروتكل شبكه ، يك بسته اطلاعاتی IP را دريافت و اطلاعات كنترلی را به آن اضافه نموده تا شرايط مناسب برای توزيع بسته های اطلاعاتی به مقصد مورد نظر فراهم گردد .

• تمامی فريم ها  به همراه  بيت ها ، بايت ها و فيلدهای مربوطه مستعد خطاء از منابع متعددی می باشند. فيلد FCS  ( برگرفته از   Frame Check Sequence   ) شامل يك مقدار عددی است كه توسط گره مبداء و بر اساس داده موجود در فريم محاسبه می گردد . پس از محاسبه FCS ،‌ مقدار استخراج شده به انتهای فريم ارسالی اضافه خواهد شد . زمانی كه گره مقصد ، فريم را دريافت می نمايد ،‌مجددا" مقدار FCS محاسبه و با مقدار موجود در فريم مقايسه می گردد . در صورتی كه دو عدد با يكديگر متفاوت باشند ، نشاندهنده بروز خطاء در زمان ارسال اطلاعات می باشد . در چنين مواردی ،‌فريم دورانداخته شده و از گره مبداء درخواست می شود كه مجددا" اطلاعات را ارسال نمايد .

• برای محاسبه FCS از سه روش عمده استفاده می گردد :
  روش اول : ( Cyclic Redundancy Check (CRC  ، محاسبات را بر روی داده انجام می دهد .
  روش دوم :   Two-dimensional parity : در اين روش با اضافه كردن بيت هشتم ، زوج و يا فرد بودن تعداد يك های موجود در فريم مشخص می گردد .
  روش سوم :   Internet checksum : در اين روش مقدار تمامی بيت های داده  با يكديگر جمع می گردد .

مبانی اترنت ( بخش دوم )

فريم ،‌ واحد داده در لايه دوم مدل مرجع OSI است . در واقع ،‌ فريم يك ساختمان داده خاص مشتمل بر چندين فيلد است كه هر يك از آنان به منظور انجام وظايف تعريف شده ، تعداد مشخصی بايت را به خدمت خواهند گرفت . در ادامه به بررسی ساختمان داده فوق ، خواهيم پرداخت .

ساختار فريم اترنت

•  ساختار فريم در لايه Data Link ، تقريبا" برای تمامی سرعت های اترنت ( از ده تا ده هزار مگابيت در ثانيه ) يكسان می‌ باشد .  اين وضعيت در لايه فيزيكی وجود نداشته و هر يك از نسخه های اترنت دارای يك مجموعه قوانين جداگانه و مختص به خود می باشند .
  
   

• در نسخه اترنت كه توسط DIX پياده سازی شده بود ( قبل از ارائه نسخه IEEE 802.3  ) ،‌ مقدمه و شروع فريم در يك فيلد تركيب می شدند . فيلد "طول / نوع " در نسخه های اوليه IEEE به عنوان "طول" و  صرفا" در نسخه DIX به عنوان "نوع" در نظر گرفته شده بود .
   

• در اترنت II ، فيلد "نوع" ،‌ در تعريف فريم  3 . 802 مورد توجه قرار گرفت . گره دريافت كننده با بررسی مقدار فيلد " طول / نوع "   ، می بايست نوع پروتكل استفاده شده در لايه بالاتر  موجود در فريم را تعيين نمايد ( مثلا" 0x0800 ،‌ پروتكل IPV4  و  0X806  پروتكل ARP ) .
  در صورتی كه مقدار موجود در اين فيلد  معادل 0X600 ( مبنای شانزده )   و يا بزرگتر از آن باشد ، ‌فريم بر اساس سيستم كدينگ اترنت دو  تفسير می گردد .

فيلدهای فريم اترنت
برخی فيلدهای ضروری در فريم های استاندارد 3 . 802  عبارتند از :

• مقدمه  ( Preamble  ) ، يك الگوی متناوب مشتمل بر مجموعه ای ‌از صفر و يك است كه از آن برای همزمانی در سرعت های ده مگابيت در ثانيه و يا  سرعت های پائين تر استفاده می شود . با توجه به اين كه نسخه های سريع تر اترنت  همزمان می باشند به اطلاعات فوق نياز نبوده و صرفا" جهت سازگاری با نسخه های قبلی استفاده می گردد.

• شروع فريم  يا SFD ( برگرفته از Start Frame Delimiter ) از هشت بيت تشكيل شده است و مسئوليت آن مشخص كردن انتهای اطلاعات مربوط به زمانبندی است   الگوی فوق به صورت  10101011 می باشد .
   

• آدرس مقصد  ،  شامل آدرس MAC مقصد است . آدرس مقصد می تواند به صورت تكی ( Unicast ) ، گروهی ( Multicast ) و يا برای تمامی گره ها ( broadcast ) باشد .
   

• آدرس مبداء‌ ، شامل آدرس MAC مبداء است . آدرس مبداء همواره به صورت تكی (Unicast ) بوده و  آدرس گره ارسال كننده اطلاعات را مشخص می نمايد .
   

• طول /  نوع  برای دو هدف متفاوت استفاده می گردد . در صورتی كه مقدار اين فيلد كمتر از 1536 ( مبنای ده ) و يا 0x600 ( مبنای شانزده ) باشد ، طول را مشخص می نمايد . از فيلد فوق به عنوان "طول" زمانی استفاده می گردد كه مسئوليت مشخص كردن پروتكل استفاده شده بر عهده لايه LLC باشد .   مقدار موجود در اين فيلد به عنوان "طول" ، تعداد بايت های داده  را مشخص می نمايد . 
  در صورتی كه مقدار اين فيلد به عنوان "نوع" در نظر گرفته شود ، پروتكل لايه بالاتر كه  پس از تكميل پردازش اترنت داده را دريافت می نمايد ، مشخص می گردد .

• داده و Pad ، هر طولی را می تواند داشته باشد مشروط به اين كه از حداكثر اندازه فريم تجاوز ننمايد . حداكثر اطلاعاتی را كه می توان در هر مرتبه ارسال نمود،  يكهزار و پانصد octet می‌باشد. در صورتی كه داده موجود در فيلد "داده " به حداقل مقدار لازم ( چهل و شش octet ) نرسيده باشد ،‌ می بايست از Pad استفاده گردد .
   

• FCS  از چهار octet تشكيل و  شامل مقدار CRC است كه توسط دستگاه فرستنده محاسبه و توسط دريافت كننده به منظور تشخيص بروز خطاء در زمان ارسال اطلاعات ، ‌مجددا" محاسبه می گردد . با توجه به اين كه خرابی صرفا" يك بيت از ابتدای فيلد "آدرس مقصد " تا انتهای فيلد "FCS" باعث محاسبه Checksum متفاوتی خواهد شد ، تشخيص اين موضوع كه اشكال  مربوط به فيلد FCS و يا ساير فيلدهای شركت كننده در محاسبه CRC  است را غير ممكن می نمايد .

در بخش سوم به بررسی عملكرد اترنت خواهيم پرداخت .

امنيت و TCP/IP Stack

TCP/IP يكی از پروتكل های مطرح در عرصه شبكه های كامپيوتری است كه از چهار لايه متفاوت فيزيكی ، شبكه ، حمل و  كاربرد  تشكيل شده است . شكل زير ارتباط پروتكل چهار لايه ای TCP/IP و مدل مرجع OSI هفت لايه ای را نشان می دهد :

هر لايه دارای مكانيزم های امنيتی ، پروتكل ها و برنامه های مختص به خود می باشد . در ادامه به برخی از امكانات امنيتی متداول و  مرتبط با هر يك از لايه های پروتكل TCP/IP اشاره می گردد :

لايه فيزيكی : معادل لايه های اول و دوم مدل مرجع OSI

•  Packet Filters  ، به منظور استقرار بين يك شبكه داخلی و يك شبكه خارجی طراحی می گردند. برای برخورد مناسب ( ارسال ، نپذيرفتن ، حذف ) با بسته های اطلاعاتی ورودی و يا خروجی از يك شبكه از مجموعه قوانين تعريف شده خاصی استفاده می گردد . ACL ( برگرفته از Access Control List  )  روتر ،  نمونه ای از يك Packet Filter  می باشد . 

• NAT ، ( برگرفته از Network Address Translation ) ، مكانيزمی برای ترجمه آدرس است . اكثر كاربران اينترنت با سرعت بالا از NAT استفاده می نمايند . تكنولوژی فوق به منظور تامين امنيت كاربران ،  آدرس داخلی آنان را از ديد شبكه های خارجی مخفی نگه می دارد .

•  CHAP ( برگرفته از Challenge Handshake Authentication Protocol ) ، يك پروتكل "تائيد"  است كه از آن به عنوان گزينه ای جايگزين در مقابل ارسال معمولی و رمز نشده نام و رمز عبور استفاده می گردد . پروتكل فوق از الگوريتم MD5 برای رمزنگاری رمزهای عبور استفاده می نمايد .

• PAP ( برگرفته از Password Authentication Protocol ) . پروتكل فوق ، به عنوان بهترين گزينه امنيتی در لايه فيزيكی مطرح نمی باشد و با ارائه امكاناتی كاربران را ملزم به درج نام و رمز عبور می نمايد . اطلاعات درج شده توسط كاربران به صورت متن معمولی ( رمز نشده ) ارسال می گردد ( مهمترين محدوديت پروتكل PAP ) .

لايه شبكه  : معادل لايه سوم مدل مرجع OSI

• PPTP ( برگرفته از  Point to Point Tunneling Protocol  ) توسط كنسرسيومی متشكل از مايكروسافت و 3com پياده سازی و هدف آن ارائه امكانات لازم به منظور كپسوله سازی داده می باشد  . امنيت لازم برای PPTP توسط رمزنگاری Point-to-point مايكروسافت ارائه شده است .

• L2TP : پروتكل VPN فوق به منظور امنيت و  بر اساس  پروتكل های PPTP و L2F پياده سازی شده است .

•  IPsec : از پروتكل فوق به منظور حفاظت بسته های اطلاعاتی IP و دفاع در مقابل حملات شبكه ای استفاده می گردد . IPsec  از  پروتكل های امنيتی و مديريت كليد پويا استفاده نموده و  دارای دو پيكربندی پايه AH ( برگرفته از Authenticated Header ) و ESP ( برگرفته از Encapsulated Secure Payload  ) می باشد .

لايه حمل : معادل لايه های چهارم و پنجم مدل مرجع OSI 

• SSL  ( برگرفته از Secure Sockets Layer ) ، پروتكلی است كه با استفاده از آن به كابران اين اطمينان داده می شود كه به صورت ايمن اقدام به مبادله اطلاعات بر روی شبكه ( نظير اينترنت ) نمايند .

• TLS ( برگرفته از Transport Layer Security  ) ، پروتكلی مشابه پروتكل SSL است و از يك رويكرد لايه ای به منظور امنيت داده  استفاده می نمايد . TLS از  چندين پروتكل زير مجموعه ديگر تشكيل می گردد .

لايه كاربرد : برخی از  وظايف لايه پنجم و  معادل لايه های ششم و هفتم مدل مرجع OSI 

• RADIUS ( برگرفته از Remote Authentication Dial-In User Service ) متداولترين پروتكل تائيد كاربران dialup در دنيای شبكه های كامپيوتری است . پروتكل فوق امكانات لازم برای تائيد و اعطای مجوز  لازم به كابران dialup شبكه های كامپيوتری را فراهم می نمايد .

• TACACS  ( برگرفته از  Terminal Access Controller Access Control System  ) ، يك پروتكل "تائيد" قديمی در شبكه های مبتنی بر سيستم عامل يونيكس است كه اين امكان را برای يك سرويس دهنده راه دور فراهم می نمايد تا رمز عبور درج شده توسط كاربران را به يك سرويس دهنده تائيد شده هدايت تا صلاحيت آنان برای استفاده از يك سيستم بررسی گردد .

• Kerberos توسط MIT و به عنوان يك پروتكل تائيد قدرتمند پياده سازی شده است . پروتكل فوق برای تائيد مجوز كاربران در ارتباط با اشياء متفاوت از tickets استفاده می نمايد . Kerberos ، امكانات لازم به منظور رمزنگاری ، پيوستگی داده و محرمانگی را ارائه می نمايد .

• S-MIME ( برگرفته از Secure / Multipurpose Internet Mail Extensions  ) ، پروتكلی به منظور ايمن سازی نامه های الكترونيكی است . پروتكل فوق با بهره گيری از امكاناتی نظير رمزنگاری و امضاء ديجيتال ، امنيت نامه های الكترونيكی را تضمين می نمايد .

كارشناسان امينت اطلاعات بر اين عقيده هستند كه چون نمی توان يك شبكه و يا host را صرفا" با استفاده از امكانات امنيتی يك لايه صددرصد ايمن نمود ، می بايست از رويكرد "دفاع در عمق " و يا امنيت لايه ای ( layered security  ) استفاده نمود .  ايده  "دفاع در عمق" می تواند بطرز قابل توجهی كاهش حملات موفقيت آميز را به دنبال داشته باشد .

آشنائی با پروتكل FTP ( بخش دوم )

 FTP ،‌ يك پروتكل ارسال فايل است كه با استفاده از آن سرويس گيرندگان می توانند به سرويس دهندگان متصل و صرفنظر از نوع سرويس دهنده اقدام به دريافت و يا ارسال فايل نمايند . پروتكل FTP به منظور ارائه خدمات خود از دو حالت متفاوت استفاده می نمايد : Active Mode و Passive Mode .  مهمترين تفاوت بين روش های فوق جايگاه سرويس دهنده و يا سرويس گيرنده  در ايجاد و خاتمه يك ارتباط است .
همانگونه كه در بخش اول اشاره گرديد ، يك اتصال پروتكل TCP/IP ( نسخه شماره چهار)  شامل دو  نقطه مجزا می باشد كه هر نقطه از يك آدرس IP و يك شماره پورت استفاده می نمايد . برقراری ارتباط بين يك سرويس گيرنده و يك سرويس دهنده منوط به وجود چهار عنصر اطلاعاتی است : آدرس سرويس دهنده ،‌پورت سرويس دهنده ، آدرس سرويس گيرنده و پورت سرويس گيرنده . در زمان برقراری يك ارتباط ، سرويس گيرنده از يك شماره پورت استفاده می نمايد . اين شماره پورت می تواند متناسب با نوع عملكرد برنامه سرويس گيرنده به صورت اختياری و يا اجباری باشد . مثلا"  برخی برنامه های سرويس گيرنده به منظور ارتباط با سرويس دهنده ، نيازمند استفاده از يك شماره پورت خاص می باشند ( نظير برنامه های سرويس گيرنده وب و يا مرورگرهای وب كه از پورت شماره 80 به منظور ارتباط با سرويس دهنده وب استفاده می نمايد) . در مواردی كه الزامی در خصوص شماره پورت وجود ندارد از يك شماره پورت موقتی و يا   ephemeral  استفاده می گردد . اين نوع پورت ها موقتی بوده و توسط IP stack ماشين مربوطه به متقاضيان نسبت داده شده و پس از خاتمه ارتباط ، پورت آزاد می گردد . با توجه به اين كه اكثر IP Stacks بلافاصله از پورت موقت آزاد شده استفاده نخواهند كرد ( تا زمانی كه تمام pool تكميل نشده باشد ) ،‌در صورتی كه سرويس گيرنده مجددا" درخواست  برقراری يك ارتباط را نمايد ، يك شماره پورت موقتی ديگر به وی تخصيص داده می شود .
پس از اين مقدمه ،‌ در ادامه به بررسی هر يك از روش های Active و Passive در پروتكل FTP خواهيم پرداخت .

Active Mode
Active Mode ، روش سنتی ارتباط بين يك سرويس گيرنده FTP و يك سرويس دهنده می باشد كه عملكرد آن بر اساس فرآيند زير است :

• سرويس گيرنده  يك ارتباط با پورت 21 سرويس دهنده  FTP برقرار می نمايد . پورت 21 ، پورتی است كه سرويس دهنده  به آن گوش فرا می دهد تا از صدور فرامين آگاه و آنان را به ترتيب پاسخ دهد . سرويس گيرنده برای برقراری ارتباط با سرويس دهنده از يك پورت تصادفی و موقتی ( بزرگتر از 1024 ) استفاده می نمايد( پورت x ).

• سرويس گيرنده شماره پورت لازم برای ارتباط سرويس دهنده با خود را  از طريق صدور دستور PORT N+1 به وی اطلاع می دهد ( پورت x+1 )

• سرويس دهنده يك ارتباط را از طريق پورت 20  خود با پورت مشخص شده سرويس گيرنده ( پورت x+1 ) برقرار می نمايد .

در فرآيند فوق ، ارتباط  توسط  سرويس گيرنده آغاز  و پاسخ به آن توسط سرويس دهنده و از طريق پورت x+1 كه توسط سرويس گيرنده مشخص شده است ،  انجام می شود . در صورتی كه سرويس گيرنده از سيستم ها و دستگاه های امنيتی خاصی نظير فايروال استفاده كرده باشد ، می بايست تهميدات لازم به منظور ارتباط كامپيوترهای ميزبان راه دور به سرويس گيرنده پيش بينی تا آنان بتوانند به هر پورت بالاتر از 1024 سرويس گيرنده دستيابی داشته باشند . بدين منظور لازم است كه پورت های اشاره شده بر روی ماشين سرويس گيرنده open باشند . اين موضوع می‌ تواند تهديدات و چالش های امنيتی متعددی را برای سرويس گيرندگان به دنبال داشته باشد .

Passive Mode
در Passive Mode ، كه به آن " مديريت و يا اداره سرويس گيرندگان FTP" نيز گفته می شود از فرآيند زير استفاده می گردد :

• سرويس گيرنده دو پورت را فعال می نمايد ( پورت x و x+1 )

• ارتباط اوليه از طريق پورت x سرويس گيرنده با پورت 21  سرويس دهنده  آغاز می گردد .

• سرويس دهنده يك پورت را فعال ( Y ) و به سرويس گيرنده شماره پورت را اعلام می نمايد .

• در ادامه سرويس گيرنده يك اتصال از طريق پورت x+1 با پورت y سرويس دهنده برقرار می نمايد .

در فرآيند فوق ، سرويس گيرنده دارای نقش محوری است و فايروال موجود بر روی سرويس گيرنده می تواند درخواست های دريافتی غيرمجاز به پورت های بالاتر از 1024 را به منظور افزايش امنيت بلاك نمايند .  در صورتی كه بر روی كامپيوترهای سرويس دهنده نيز فايروال نصب شده باشد ، می بايست پيكربندی لازم به منظور استفاده از پورت های بالاتر از 1024 بر روی آن آنجام و آنان open گردند . باز نمودن پورت های فوق بر روی سرويس دهنده می تواند چالش های امنيتی خاصی را برای سرويس دهنده به دنبال داشته باشد .
متاسفانه تمامی سرويس گيرندگان FTP از Passive Mode حمايت نمی نمايند . اگر يك سرويس گيرنده بتواند به يك سرويس دهنده  login نمايد ولی قادر به ارسال داده بر روی آن نباشد ، نشاندهنده اين موضوع است كه فايروال و يا Gateway برای استفاده از Passive Mode  به درستی پيكربندی نشده است .

ملاحضات امنيتی
در صورتی كه فايروال های موجود بر روی كامپيوترهای سرويس گيرنده به درستی پيكربندی نگردند ، آنان نمی توانند از Active Mode استفاده نمايند .  در Passive Mode استحكام سيستم امنيتی در سمت سرويس دهنده و توسط فايروال مربوطه انجام خواهد شد . بنابراين لازم است به سرويس دهنده اجازه داده شود كه به اتصالات هر پورت بالاتر از 1024 پاسخ دهد . ترافيك فوق ، معمولا" توسط فايروال سرويس دهنده بلاك می گردد . در چنين شرايطی امكان استفاده از Passive Mode وجود نخواهد داشت .

Passive Mode  و يا Active Mode ؟
با توجه به مستندات درج شده در RFC 1579 ، استفاده از Passive Mode به دلايل متعددی به Active Mode ترجيح داده می شود :

•  تعداد سرويس دهندگان موجود بر روی اينترنت به مراتب كمتر از سرويس گيرندگان می باشد .

• با استفاده از امكانات موجود می توان سرويس دهندگان را پيكربندی تا بتوانند از مجموعه پورت های محدود و تعريف شده ای با در نظر گرفتن مسائل امنيتی ، استفاده نمايند.

پيكربندی فايروال
جدول زير  پيكربندی فايروال در Active Mode و  Passive Mode  را نشان می دهد .